Deve premettersi e mai perdersi di vista il concetto essenziale che il Regolamento Europeo 679/ 2016 pone al suo centro l’interessato, vale a dire il soggetto che fornisce i propri dati personali a chi dovrà trattarli. A differenza della previgente normativa nazionale, il Regolamento non solo riconosce questa figura espressamente, ma la individua quale titolare di diritti ben precisi: proprio al fine di poter compiutamente esercitare gli stessi, il consenso al trattamento dati a favore dell’interessato, sia che derivi da contratto che da obbligo di legge, deve essere non solo chiaro, ma avere ben determinate caratteristiche.

In generale il consenso è identificato in: 

“qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento".

Già da questa definizione emerge come il consenso non possa in alcun modo essere condizionato o soggetto a controprestazioni che rimangono nell’alveo del rapporto tra le parti. Laddove ciò accadesse il consenso non avrebbe validità con la conseguenza dell’impossibilità per il Titolare di provvedere al trattamento dei dati e, molto probabilmente, non poter eseguire i propri obblighi contrattuali.

La specificità del consenso, prima caratteristica che emerge dalla definizione, comporta che questo non possa comprendere finalità del trattamento eccedenti quelle per cui è stato concesso, oltretutto in una fattispecie che prevede una sostanziale immodificabilità della base giuridica del trattamento, la quale deve essere definita inizialmente. Inoltre ogni Titolare, azienda o Ente deve rivalutare la sopravvivenza dei consensi prestati nella vigenza della precedente normativa sulla Privacy, considerato che il GDPR fissa dei requisiti ben più elevati. Gli elementi da considerare ai fini della validità del consenso al trattamento dei dati personali sono sostanzialmente quattro.

1. Liberamente prestato
Il consenso al trattamento dei dati personali deve essere una "vera scelta e sotto controllo degli interessati". Da ciò discende l’invalidità del consenso laddove lo stesso fosse inserito come elemento non negoziabile di un rapporto (ad esempio, tra le Condizioni Generali di Contratto ai sensi dell’art. 1341 CC). Gli interessati devono essere posti in grado non solo di rilasciare o rifiutare il consenso al trattamento dati, ma anche di revocarlo senza subire danno o pregiudizio alcuno. Ergo, il consenso non può essere una condizione per la fornitura di un servizio o comunque legato a un contratto, se l’attività di trattamento non è strettamente necessaria all’esecuzione delle prestazioni. Allo stesso modo il trattamento dati non può essere la controprestazione di un contratto, che è peraltro scenario frequente in relazione, ad esempio, alle App gratuite. Tutto ciò rappresenta uno squilibrio di potere tra il titolare e l'interessato e in cui quest’ultimo si trova in una situazione di debolezza.

2. Specifico
La questione relativa al livello del consenso al trattamento dei dati personali è legata alla necessità di renderlo "specifico". Ciò significa che nell’informativa il Titolare del trattamento dovrà inserire non solo gli scopi della raccolta, ma anche indicare ogni possibile uso dei dati personali e, laddove questi venissero utilizzati a più livelli, ottenere uno specifico consenso per ogni diverso utilizzo, divulgazione, trattamento.

3. Informato
Per consenso informato non si intende, in questo contesto, quello prestato ai fini di un trattamento sanitario. Ai fini del Trattamento dati previsto dal GDPR, per consenso informato si intende quello in cui l’Interessato sia compiutamente portato a conoscenza non solo dell'identità del titolare del trattamento e delle finalità di ciascun singolo trattamento per il quale è richiesto il consenso, ma anche di ogni elemento ulteriore per avere un chiaro quadro, non esemplificativo, di come i propri dati verranno trattati, conservati ed eventualmente trasmessi. A titolo esemplificativo dovranno essere indicati: il DPO, l'esistenza del diritto di revocare il consenso, ogni informazione sull'uso dei dati per decisioni automatizzate (inclusa la profilazione) e, laddove il consenso riguardasse trasferimenti al di fuori dell’UE, i dettagli circa i possibili rischi di trasferimenti di dati verso Paesi terzi in assenza di una decisione di adeguatezza e di garanzie appropriate

Le informazioni che permettono la libera formazione del consenso non possono essere fornite attraverso lunghe informative illeggibili o dichiarazioni piene di gergo legale e il consenso deve essere chiaro e distinguibile da altre questioni, oltre a dover essere fornito in una forma comprensibile e facilmente accessibile. Da qui, per i Titolari, deriva la necessità di un’informativa sul trattamento dei dati personali a più livelli che includa una richiesta di consenso e fornisca le informazioni richieste in modo chiaramente comprensibile.

4. Che contenga un'indicazione univoca ed esplicita di volontà
Il consenso al trattamento dei dati personali deve essere prestato mediante un chiaro atto affermativo, vale a dire una chiara manifestazione di volontà consapevole (legalmente si tratta di un negozio giuridico). Il consenso potrà essere raccolto attraverso una dichiarazione scritta, registrata, in via elettronica o telematica. In ogni caso la manifestazione di volontà deve chiaramente consistere in un atto affermativo a fronte di elementi chiari e comprensibili. In tal senso non si considera tale lo scorrimento delle pagine su uno schermo di un computer o un cellulare. Non potranno inoltre essere considerate forme di prestazione di consenso il silenzio o l’inerzia, nonché quei consensi prestati con una pedissequa accettazione di termini contrattuali.